Notebookcheck Logo

Microsoft wydaje pozapasmową poprawkę dla aktywnie wykorzystywanej luki zero-day w pakiecie Microsoft Office

Ekran instalacji aktualizacji zabezpieczeń systemu Windows 11 pokazujący postęp pobierania (Źródło obrazu: Pabitra Kaity z Pixabay)
Ekran instalacji aktualizacji zabezpieczeń systemu Windows 11 pokazujący postęp pobierania (Źródło obrazu: Pabitra Kaity z Pixabay)
Firma Microsoft opublikowała pozapasmową aktualizację zabezpieczeń, która naprawia aktywnie wykorzystywaną lukę w zabezpieczeniach pakietu Microsoft Office, oznaczoną jako CVE-2026-21509. Luka pozwala atakującym na obejście zabezpieczeń pakietu Office za pośrednictwem złośliwych dokumentów i została dodana do katalogu znanych wykorzystanych luk w zabezpieczeniach CISA.
Security Windows Software Desktop Laptop / Notebook

Microsoft wydał pozapasmową aktualizację zabezpieczeń w celu wyeliminowania aktywnie wykorzystywanej luki typu zero-day wpływającej na pakiet Microsoft Office, zwiększając presję na i tak już burzliwy cykl aktualizacji ze stycznia 2026 r., w którym wystąpiły również poważne problemy ze stabilnością systemów Windows 11.

Według Microsoft Security Response Center podatność ta, oznaczona jako CVE-2026-21509, jest klasyfikowana jako obejście funkcji zabezpieczeń spowodowane "poleganiem na niezaufanych danych wejściowych w decyzji dotyczącej bezpieczeństwa w pakiecie Microsoft Office". Pomyślne wykorzystanie luki pozwala atakującemu na lokalne ominięcie zabezpieczeń pakietu Office, w szczególności zabezpieczeń OLE zaprojektowanych w celu blokowania podatnych na ataki kontrolek COM i OLE.

Microsoft przypisał usterce ocenę CVSS v3.1 na poziomie 7.8 i potwierdził, że jest ona wykorzystywana na wolności. Chociaż firma nie ujawniła szczegółów technicznych dotyczących ataków, zauważyła, że ich wykorzystanie wymaga interakcji użytkownika, a atakujący muszą przekonać ofiary do otwarcia specjalnie spreparowanego pliku pakietu Office. Okienko podglądu nie jest wektorem ataku.

Systemy z pakietem Office 2021 i nowszymi są automatycznie chronione poprzez zmianę po stronie usługi, ale użytkownicy muszą ponownie uruchomić aplikacje pakietu Office, aby złagodzić skutki. Klienci korzystający z Office 2016 i Office 2019 nie są jednak chronieni, dopóki nie zainstalowania najnowszych aktualizacji zabezpieczeń. Microsoft udostępnił również obejście oparte na rejestrze, które można natychmiast zastosować w dotkniętych systemach, aby zablokować exploity przed wprowadzeniem poprawek.

Luka została dodana do katalogu Known Exploited Vulnerabilities prowadzonego przez Cybersecurity and Infrastructure Security Agency, która wymaga od amerykańskich agencji federalnych zastosowania aktualizacji do 16 lutego 2026 roku.

Wcześniej w tym miesiącu, Aktualizacja zabezpieczeń systemu Windows 11 KB5074109 była powiązana z powszechnymi problemami ze stabilnością i raportami o awariach rozruchu UNMOUNTABLE_BOOT_VOLUME w niektórych systemach, co podkreśla coraz bardziej kruchy stan ostatnich aktualizacji systemu Windows i pakietu Office.

Please share our article, every link counts!
Mail Logo

Powiązane artykuły

> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 01 > Microsoft wydaje pozapasmową poprawkę dla aktywnie wykorzystywanej luki zero-day w pakiecie Microsoft Office
Praneeta, 2026-01-28 (Update: 2026-01-28)